作为一个开源程序,WordPress 的代码暴露在所有程序员眼中,任何 Bug 或漏洞很快会被揪出来,解决掉,从各方面来说,WordPress 的安全性足够高,即便如此,基于 WordPress 的站点还是免不了被黑的一天,漏洞可能出现在其他地方,比如:
服务器操作系统的漏洞
同一个服务器上其他站点的漏洞
管理员密码,FTP 密码被暴力破解
主题或插件的漏洞
登录信息被截取
WordPress 网站被黑最常见的情况是被插入广告链接和恶意代码。网站被黑了,我们肯定很生气,很郁闷,可这对解决问题没有帮助。在这种情况下,我们最应该做的是控制一下情绪,清理恶意代码,恢复网站。
怎么彻底替换被感染的文件为干净的文件恢复网站正常运行
一旦网站被插入了恶意代码,每一个文件或文件夹都可能被插入恶意代码,最保险的办法就是全部替换这些文件,如果网站有备份,直接恢复备份是最快捷的办法。如果没有备份,或者备份不可用,我们就需要逐个替换文件了。按照以下步骤逐个替换文件,建议执行下面的操作之前先把被感染的网站备份一下。
网站根目录除了 `wp-config.php` 以外的其他文件,不包括文件夹
替换 `wp-admin` 和 `wp-includes` 文件夹,建议先彻底删除这两个文件夹,再上传新的上去。
替换 `wp-content/plugin` 文件夹里面所有的插件为从官方下载的版本。
删除 `wp-content/uploads` 和 `wp-content/languanges` 文件夹里面所有的 `.php` 文件。正常情况下,这两个文件夹里是没有 PHP 文件的,如果有,肯定就是恶意代码了。
如果你没有修改主题,下载原版的主题,替换被黑的主题。如果你修改过主题,最靠谱的办法就是查看一下每个文件和文件夹,把恶意代码清除掉。
现在,网站里面的恶意代码已被清理完毕。
怎么防范攻击提高WordPress的安全性
没有绝对的安全,只有让别人攻击我们的网站时更加困难。下面是提高 WordPress 安全性的几点小建议,有兴趣的朋友可以逐条对照一下自己的网站。
不要使用 FTP 服务,FTP 密码是明文传输的,很容易被嗅探到,使用 SFTP,如果一定要使用 FTP,请为 FTP 启用 TLS/SSL 支持。
不要图省事使用弱密码,想更安全一点,开启两步验证。
全站开启 SSL 加密,避免登录信息别同网络中不怀好意的人截取。
不要下载来历不明的主题或插件,特别不要使用网络上分享的高级主题或插件,如果需要,就直接去购买一份,花费远比网站被黑后带来的各种损失小。
及时更新服务器操作系统,WordPress 内核,使用的主题和插件。
不要和容易被攻击的站点放在一个服务器上。
打死也不要和 dede cms 放在一个服务器上。
经常看看网站访问日志,看是否有异常访问。
使用 Fail2ban 限制暴力破解。
不要使用 admin 作为用户名。
修改 wp-admin 和 wp-login. php 的默认地址。
其实,上面的注意事项大家都知道,很多人会抱着侥幸心理不去防范,直到被黑了才追悔莫及,如果你的网站很重要,请一定要做足安全防范,预防永远比治疗有效。
以上是已经自己的经验总结出来的一点心得,如果你觉得又遗漏的,或者错误的地方,方便在评论中指出,我将随时保持文章更新,以方便又需要的朋友查看。